Lock down Microsoft Intune, feds warn after Stryker attack

CISA가 Stryker 공격 사례를 통해 Microsoft Intune의 권한 최소화 원칙 도입 권고로 엔드포인트 관리 도구의 접근 제어 강화

Jessica Lyons2026년 3월 19일3분intermediate

AI 요약

Context

Stryker의 의료 기기 제조 인프라가 Handala 그룹(이란 정보기관 연계)의 사이버 공격을 받아 Microsoft Intune 관리 권한이 탈취되었다. 공격자가 탈취한 Intune 접근 권한으로 직원 디바이스를 원격 삭제(wipe)하고 네트워크를 오프라인으로 만들어 배송 및 주문 시스템에 영향을 미쳤다.

Technical Solution

Intune 관리자 역할 설계에 최소 권한 원칙(Principle of Least Privilege) 적용: 관리자 계정이 탈취되어도 새로운 관리자 계정 생성 및 직원 접근 제어 조작 방지
Intune의 역할 기반 접근 제어(Role-Based Access Control) 도입: 각 역할에 일일 운영에 필요한 최소 권한만 할당
기존 관리자 역할의 권한 범위를 재검토 및 축소: 디바이스 원격 삭제(wipe) 명령 실행 권한을 필요한 역할로만 제한

Key Takeaway

Microsoft Intune과 같은 엔드포인트 관리 도구는 조직 전체 디바이스 제어 권한을 가지므로, 최소 권한 원칙과 역할 기반 접근 제어를 초기 설계 단계에 적용해야 관리자 계정 탈취 시 피해 범위를 제한할 수 있다.

실천 포인트

Microsoft Intune을 운영하는 엔터프라이즈 환경에서 관리자 역할을 설계할 때, 각 팀(IT운영, 보안, 헬프데스크)에 필요한 최소 권한만 할당하고 디바이스 원격 삭제, 관리자 계정 생성 같은 치명적 작업은 별도의 제한된 역할로만 수행 가능하게 구성하면 관리자 계정 탈취 시 공격자의 횡적 확산을 차단할 수 있다.

태그

#Least Privilege #Access Control #Microsoft Intune #Cybersecurity #Endpoint Management

원문 읽기